Kaspersky Lab |
Werknemers houden in 40% van de bedrijven wereldwijd IT-beveiligingsincidenten achter – zo blijkt uit een nieuw rapport van Kaspersky Lab. Aangezien elk jaar 46% van de IT-beveiligingsincidenten door eigen medewerkers wordt veroorzaakt, moet deze zwakke plek in bedrijven op allerlei niveaus worden aangepakt, niet alleen via de IT-beveiligingsafdeling.
Hackers lopen zo mee naar binnen
Onwetende of onzorgvuldige medewerkers behoren tot de meest waarschijnlijke oorzaken van een cyberbeveiligingsincident – alleen malware scoort hoger. Terwijl malware steeds geavanceerder wordt, is de trieste werkelijkheid dat de goede oude menselijke factor een nog groter gevaar kan opleveren.
Als het gaat om gerichte aanvallen, is vooral de onzorgvuldigheid van werknemers een van de zwakste plekken in het cyberbeveiligingspantser van bedrijven. Hoewel geavanceerde hackers bij het plannen van hun overval altijd terug kunnen vallen op maatwerk malware en hightech-technieken, zullen ze waarschijnlijk beginnen met het benutten van het makkelijkste toegangspunt – de menselijke aard.
Volgens het onderzoek speelde het afgelopen jaar bij bijna een op de drie (28%) gerichte aanvallen op bedrijven phishing/social engineering een rol als bron. Een slordige accountant kan bijvoorbeeld gemakkelijk een kwaadaardig bestand openen dat is vermomd als een factuur van een van de vele aannemers van een bedrijf. Dit kan de infrastructuur van de hele organisatie platleggen, wat de accountant een onwetende medeplichtige maakt van de aanvallers.
Waarom betrokkenheid van HR en topmanagement nodig is
Als personeel hun betrokkenheid bij incidenten verbergt, kan dat dramatische gevolgen hebben en de totaal veroorzaakte schade vergroten. Zelfs één niet gemelde gebeurtenis kan duiden op een veel grotere inbreuk, en beveiligingsteams moeten snel de dreigingen kunnen identificeren waarmee ze te maken hebben, om de juiste mitigatietactiek te kiezen.
Uit vrees voor de gevolgen brengen werknemers echter liever de organisatie in gevaar dan dat ze een probleem rapporteren, of ze schamen zich ervoor dat ze verantwoordelijk waren voor iets dat fout ging. Sommige bedrijven hebben strikte regels geïntroduceerd en plaatsen extra verantwoordelijkheid bij hun werknemers, in plaats van hen alleen maar aan te moedigen om waakzaam en coöperatief te zijn. Dit betekent dat cyberbescherming niet alleen het domein is van technologie, maar ook te maken heeft met de cultuur en scholing binnen een organisatie. Daarom moeten het topmanagement en HR erbij betrokken worden.
De beste manier om organisaties te beschermen tegen mensgerelateerde cyberdreigingen is het combineren van de juiste tools met de juiste praktijken. Hierbij moeten HR en directie zich gezamenlijk inspannen om medewerkers te motiveren en te stimuleren om waakzaam te zijn en hulp te zoeken in het geval van een incident. Beveiligingsbewustzijnstrainingen voor medewerkers, het uitvaardigen van duidelijke richtlijnen in plaats van meerdere pagina’s lange documenten, het opbouwen van sterke vaardigheden en motivatie, en het bevorderen van de juiste werksfeer zijn de eerste stappen die organisaties moeten nemen.
Het hele van Kaspersky Lab kunt u hier lezen.
Meer informatie, tips en adviezen over internetveiligheid leest u op de pagina cyber security van het ICT informatiecentrum.